0

基本的に、tls1として使用する暗号スイートとして-ssl3を指定する必要があるcurlとの接続が機能しているか、他の暗号によりサーバーがhelloハンドシェイクに失敗します。機能するcurlコマンド:

curl https://10.10.10.10/soap/rpc -k -v -ssl3 --cert /etc/ssl/mwlang.crt --key /etc/ssl/mwlang.key

curl を使用して、他の暗号スイートが存在するとハンドシェイクが失敗することを確認しましたが、ファラデーで ssl3 暗号を指定する方法がわかりません...これまでの私の試み:

SSL_OPTS = {:verify => false,
  :ca_path => "/usr/lib/ssl/certs",
  :client_cert  => OpenSSL::X509::Certificate.new(File.read("/etc/ssl/mwlang.crt")),
  :client_key   => OpenSSL::PKey::RSA.new(File.read("/etc/ssl/mwlang.key")),
}

Faraday.new(:url => 'https://10.10.10.10', :ssl => SSL_OPTS) do |faraday|
  faraday.adapter Faraday.default_adapter
end
4

1 に答える 1

0

暗号スイートを制限する正しい方法は、ファラデーに使用されるアダプターによって異なります。デフォルトのアダプタの場合、「バージョン」キーは :SSLv3 に設定する必要があります

SSL_OPTS = {:verify => false,
  :ca_path => "/usr/lib/ssl/certs",
  :client_cert  => OpenSSL::X509::Certificate.new(File.read("/etc/ssl/mwlang.crt")),
  :client_key   => OpenSSL::PKey::RSA.new(File.read("/etc/ssl/mwlang.key")),
  :version => :SSLv3
}

Faraday.new(:url => 'https://10.10.10.10', :ssl => SSL_OPTS) do |faraday|
  faraday.adapter Faraday.default_adapter
end

他の人が私に指摘したように、SSLv3 は POODLE 脆弱性の影響を受けます。SSLv3 暗号のみを使用している場合は、これに注意してください: https://www.us-cert.gov/ncas/alerts/TA14-290A

于 2015-05-12T15:12:12.647 に答える